Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Demander une démo
Recherche
Recherche
Perspectives
5 juin 2024

Les fonds sont restitués à DeFi Exchange Nirvana dans le cadre de la première poursuite pour piratage de DeFi

Perspectives TRMPerspectives
Les fonds sont restitués à DeFi Exchange Nirvana dans le cadre de la première poursuite pour piratage de DeFi

Selon TRM Labsaujourd'hui, environ 2,6 millions de dollars en crypto-monnaie ont été restitués à la bourse d'échange décentralisée Nirvana. Nirvana a été victime d'un piratage en juillet 2022 qui a donné lieu à la première poursuite et condamnation pour un piratage DeFi . TRM Labs est fier d'avoir soutenu les forces de l'ordre tout au long de l'enquête et la victime lors de la réponse à l'incident.

L'équipe Global Investigations de TRM a reçu une alerte dans TRM Detect indiquant que les fonds volés - dans le stablecoin DAI - sont retournés au protocole DeFi exploité.

L'équipe Global Investigations de TRM a reçu une alerte dans TRM indiquant que les fonds volés ont été retournés à Nirvana Finance le 5 juin 2024.

Selon les documents judiciaires, en juillet 2022, Shakeeb Ahmed, ingénieur en sécurité de formation, a mené une attaque sur un échange de crypto-monnaies non identifié en exploitant une vulnérabilité dans l'un des contrats intelligents de l'échange.

En outre, Ahmed, qui a plaidé coupable à la fin de l'année dernière, a attaqué le protocole DeFi Nirvana. Nirvana achetait et vendait son jeton de crypto-monnaie, ANA, et était conçu de telle sorte que lorsqu'un utilisateur achetait une quantité substantielle d'ANA, le prix de l'ANA augmentait, et lorsqu'un utilisateur vendait une quantité substantielle d'ANA, le prix de l'ANA diminuait.

Le 28 juillet 2022, quelques semaines après le piratage du Crypto Exchange, Ahmed a réalisé l'exploit Nirvana dans lequel il a contracté un prêt flash d'environ 10 millions USD, utilisé ces fonds pour acheter de l'ANA à Nirvana, et utilisé un exploit qu'il a découvert dans les contrats intelligents de Nirvana pour acheter l'ANA à son prix initial, bas, plutôt qu'au prix plus élevé que Nirvana était censé lui facturer compte tenu de l'importance de son achat. Lorsque le prix de l'ANA a été mis à jour pour refléter son achat important, Ahmed a revendu l'ANA qu'il avait acheté à Nirvana au nouveau prix plus élevé, ce qui lui a permis de réaliser un bénéfice d'environ 3,6 millions USD.  

Nirvana a offert à Ahmed une prime de 600 000 USD pour la restitution des fonds volés, mais Ahmed a demandé 1,4 million USD, n'a pas trouvé d'accord avec Nirvana et a gardé tous les fonds volés. Les 3,6 millions de dollars volés par Ahmed représentaient à peu près la totalité des fonds détenus par Nirvana, qui a donc fermé ses portes peu de temps après l'attaque d'Ahmed.

Ahmed a blanchi les millions qu'il a volés à la Crypto Exchange et à Nirvana en utilisant diverses techniques d'obscurcissement de la chaîne, notamment l'utilisation de mélangeurs, d'échanges entre chaînes et de la monnaie privée Monero.

Ci-dessous, nous discuterons de l'exploit sur le Crypto Exchange, de la réponse à l'incident et de l'enquête utilisant l'blockchain intelligence de TRM.

L'Exploit‍

Selon l'acte d'accusation, au moment de l'attaque, le défendeur "était un ingénieur principal en sécurité pour une entreprise technologique internationale dont le CV reflétait des compétences dans, entre autres, l'ingénierie inverse des contrats intelligents et des audits de la blockchain, qui sont certaines des compétences spécialisées qu'Ahmed a utilisées pour exécuter l'attaque." Le Crypto Exchange, toujours selon l'acte d'accusation, est un "teneur de marché automatisé" qui s'appuie sur des contrats intelligents pour permettre à ses clients d'échanger des actifs sur la blockchain Solana. Plus précisément, le Crypto Exchange a créé un marché pour les échanges en regroupant les liquidités de ses clients (par exemple, le client dépose 100 USD sur l'échange au prix du marché, l'échange paie au client des frais pour la mise à disposition des liquidités).

Le 2 juillet 2022, la Crypto Exchange a notifié au public qu'elle subissait une attaque et qu'elle prendrait rapidement des mesures correctives pour protéger les fonds des clients. Cette attaque aurait été menée par le défendeur qui a exploité le smart contract associé à la bourse en fournissant de fausses données pour faire croire qu'il avait fourni un grand volume de liquidités à la bourse, ce qu'il n'avait pas fait en réalité. En conséquence, le défendeur a frauduleusement reçu des frais substantiels de la part de la bourse. 

En outre, après avoir compris comment exploiter le smart contract de la bourse, le défendeur aurait utilisé des fonds provenant de "prêts éclair" pour effectuer une série de dépôts sur la bourse, générant ainsi des frais frauduleux supplémentaires. Le défendeur a ensuite créé un autre compte frauduleux sur la bourse et a manipulé davantage le smart contract afin de pouvoir retirer rapidement les fonds principaux de la bourse.

Ahmed est soupçonné d'avoir obtenu frauduleusement, au total, plus de 9 millions de dollars de crypto-monnaie de la Bourse en manipulant le smart contract En utilisant TRM Labs Graph Visualizervous pouvez voir l'exploit provenant de l'adresse de l'exploiteur, traversant les blockchains de Solana à Ethereum, et se déplaçant vers les adresses ETH suivantes.

Après l'exploit, le défendeur avait besoin d'obscurcir le flux des fonds obtenus frauduleusement, il a donc commencé à utiliser des techniques de blanchiment d'argent sophistiquées pour cacher la destination des fonds. Le défendeur semble avoir échangé des fonds entre blockchains à plusieurs reprises, utilisé des "mélangeurs" de crypto-monnaies et déplacé des fonds dans des crypto-monnaies à confidentialité renforcée afin de dissimuler le flux de fonds.‍

La réponse‍

Après le piratage, la Bourse a collaboré avec l'équipe de réponse aux incidents de TRM et les enquêteurs du HSI et de l'IRS pour suivre et tracer les flux de fonds avant et après l'exploit.

Au cours de l'enquête et de la réponse à l'incident, le défendeur a restitué tous les fonds, à l'exception de 1,5 million USD de crypto-monnaie, qu'il prétendait recevoir pour avoir mis en évidence la vulnérabilité du protocole de smart contract

Selon l'acte d'accusation, les enquêteurs ont utilisé ces données sur la chaîne avec une enquête hors chaîne pour finalement identifier et arrêter le défendeur. Cette enquête hors chaîne a révélé qu'après l'attentat, l'accusé a recherché en ligne des informations sur l'attentat, sur sa propre responsabilité pénale, sur les avocats de la défense spécialisés dans les affaires similaires, sur la capacité des forces de l'ordre à enquêter avec succès sur l'attentat et sur la fuite des États-Unis pour éviter les poursuites pénales.  

Par exemple, selon l'acte d'accusation, deux jours après l'attaque, l'accusé a effectué une recherche sur Internet pour le terme "defi hack", a lu plusieurs articles de presse sur le piratage du Crypto Exchange, et a effectué des recherches sur Internet ou a visité des sites Web liés à sa capacité à fuir les États-Unis, à éviter l'extradition et à conserver sa crypto-monnaie volée : il a effectué des recherches sur les termes "puis-je traverser la frontière avec la crypto", "comment empêcher le gouvernement fédéral de saisir les actifs" et "acheter la citoyenneté" ; et il a visité un site Web intitulé "16 pays où vos investissements peuvent acheter la citoyenneté...". . ."

Le 14 décembre 2023, Ahmed a plaidé coupable dans le cadre des deux piratages et a accepté de confisquer plus de 12,3 millions de dollars, dont environ 5,6 millions de dollars en crypto-monnaie obtenue frauduleusement.

Cette affaire illustre les efforts sophistiqués et coordonnés des organismes américains d'application de la loi tels que le HSI et l'IRS, en utilisant l'blockchain intelligence, pour perturber et punir la fraude dans l'écosystème des crypto-monnaies. Elle souligne également l'importance de pouvoir tracer et suivre les flux de fonds à travers les blockchains pour arrêter les acteurs illicites qui cherchent à obscurcir les transactions.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
Décembre 12, 2023

Les transports de marchandises en sac à dos diminuent de moitié à partir de 2022

flèche vers la droite
19 août 2021

Liquid Hack : La deuxième fois

flèche vers la droite
31 octobre 2022

TRM Talks: Incident Response: Suivre les piratages de crypto-monnaies

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT